YORUM
“Devlet siber güvenlik kurumu” terimi muhtemelen koyu renk takım elbiseli adamlardan, büyük ekranlarla dolu odalara ve klavye başında yazı yazan insanlara kadar çeşitli görüntüleri çağrıştırıyor. Muhtemelen öyledir Olumsuz insanları Ticaret Bakanlığı’nda yetersiz fonlanan küçük bir ajans düşünmeye sevk ediyor. Ulusal Güvenlik Ajansı (NSA), FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) gibi kuruluşlar siber güvenlik konusunda en fazla ilgiyi çekse de, diğer birçok devlet kurumu kritik siber güvenlik işlevlerini yerine getiriyor ve kronik olarak yetersiz finansman ve personel sıkıntısı çekiyor.
Bu kurumların görevlerini yerine getirememesi durumunda dijital ekosistem geniş kapsamlı olumsuz etkilere maruz kalabilir. ABD siber güvenlik üstünlüğünü korumak istiyorsa, Kongre’nin ağları ve kritik altyapıyı korumak için siber güvenlik ekosistemindeki kurumlara uygun finansman ayırması gerekiyor. Ticaret Bakanlığı’nın Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Ulusal Güvenlik Açıkları Veritabanı (NVD), bu soruna yönelik mükemmel bir örnek olay çalışması sunmaktadır.
NVD, kötü niyetli kişilerin verileri çalmak için bir ağa sızmak veya ekipmanı sabote etmek için bir kontrol sistemine erişmek gibi kötü niyetli faaliyetleri gerçekleştirmek için kullanabileceği bilinen BT yazılımı ve donanım açıklarının bir kataloğudur.
Yazılım satıcıları, siber güvenlik sağlayıcıları ve ağ operatörleri, güvenlik açıkları hakkında bilgi sahibi olmak isterler, böylece bu açıklara yama uygulayabilir ve kötü aktörlerin bu açıkları suistimal etmesini önleyebilirler. NVD, ABD, Avrupa Birliği ve dünyanın büyük bir kısmındaki neredeyse tüm güvenlik açığı analizi, değerlendirmesi, yönetimi veya iyileştirme faaliyetleri için bir temel görevi görmektedir.
ABD hükümeti NVD’yi 1999’dan beri NIST kapsamında işletiyor. ABD hükümeti standartlarına göre nispeten küçük bir kuruluş olan bu kuruluş, kalite, sektör işbirliği ve dürüstlük konusunda haklı bir üne sahiptir; standart geliştirme konusundaki uzmanlığı benzersizdir. Kurum, standartlarının, yönergelerinin, en iyi uygulamalarının ve diğer siber güvenlik ürünlerinin kapsamlı kullanımı nedeniyle siber güvenlik ekosisteminde çok büyük bir rol oynuyor.
NVD Nasıl Başladı ve Gelişti?
NVD bir araştırma projesi olarak başladı. Güvenlik açığı yönetimi süreci geliştikçe NIST personeli, zenginleştirme olarak bilinen bir süreç olan NVD girişlerine belirli veri alanları eklemeye başladı. Güvenlik açığı izlemenin sayısı ve önemi arttıkça ve işletmeler ile ağ operatörleri verilere giderek daha fazla güvendikçe, NVD’nin ve onun zenginleştirilmiş verilerinin bakımı, tüm ekosistem genelinde siber güvenlik için temel bir operasyonel gereklilik haline geldi. NIST, operasyonel bir kurum olmamasına rağmen NVD’yi yönetmeye devam etti.
Bu statüko, NIST’in çok fazla uyarı vermeden NVD girişlerini zenginleştirmeyi bıraktığı Şubat 2024 ortasına kadar devam etti.
Kesintinin nedenleri tam olarak bilinmemekle birlikte, uzun süredir gözlemciler şunu ileri sürüyor: kaynak eksikliği NIST’in kararında rol oynadı. Bu ani değişim, siber güvenlik ekosisteminde büyük sorunlar yarattı çünkü pek çok kuruluş, güvenlik açığı yönetimi sistemleri için zenginleştirilmiş NVD verilerine güveniyordu. Ortaya çıkan tepkiler sonunda ABD hükümetini bir çözüm bulmaya zorladı ve süreci yeniden başlatGüvenlik açıklarını zenginleştirmeyi durdurma kararı, birkaç ay boyunca küresel siber riski ölçülebilir şekilde artırdı.
Sorun: Devlet Güvenliğinin Yaygın Olarak Yetersiz Fonlanması
Bu süreç dökümü, güvendiğimizde ne olacağını gösterir. yetersiz finanse edilen Kritik İnternet güvenliği işlevleri için devlet kurumları. Ne yazık ki, NVD pek de aykırı bir değer değil. Yönetici emirlerinin, başkanlık rehberlik belgelerinin ve ulusal stratejilerin gözden geçirilmesi, NIST için birçok yeni görevi ortaya çıkaracak, ancak 2025 mali yılı bütçesinde finansmanın azaldığını gösterecektir. NIST bu durumdaki tek kurum değil. Çevre Koruma Ajansı, Sahil Güvenlik ve Tarım Bakanlığı’nın hepsinin siber güvenlik misyonları vardır ve siber dayanıklılığımızı artırmada kritik oyunculardır. Dışişleri Bakanlığı ve ABD Uluslararası Kalkınma Ajansı da siber politikalarımızın yurt dışında yürütülmesinden sorumludur. Ancak bu kurum ve programlara yapılan kolektif kaynak tahsisleri, bunların genel siber güvenliğimize katkısını yansıtmıyor. Tahsis edilen kaynaklar ulusal güvenliğimiz, ekonomik refahımız ve kamu sağlığı ve güvenliği ihtiyaçlarımızla orantılı değildir.
Ülke olarak bu işlevlerin öneminin farkına varmalı ve bunlara uygun şekilde kaynak ayırmalıyız. Bu görevleri kimin yerine getirdiği konusunda da eleştirel düşünmeliyiz; örneğin, NVD durumunda, bir devlet araştırma kuruluşu temel bir operasyonel yeteneği sürdürmeli mi, yoksa başka bir kuruluş bu işlevi devralmalı mı? Bu bakımdan, bir fonksiyonun federal hükümetin dışına taşınmasının gerekip gerekmediğini düşünmeliyiz. bir özel sektör kuruluşuna veya kar amacı gütmeyen kuruluşa.
İnternetin “sahip olması güzel” bir şey olduğu dönemde işe yarayan yapılar, politikalar ve kaynak tahsisleri artık yeterli değil. Artık İnternet, halk sağlığını, güvenliği ve küresel ekonomik refahı destekleyen “kritik bir işlev” olduğuna göre, İnternet’in işleyişini sürdürmek için gereken siber güvenlik yeteneklerine yatırım yapmamız gerekiyor. Ortak ihtiyaçlarımızı karşılamak için yeterli kaynak tahsis etmek de dahil olmak üzere sorumluluklarımızı uygun şekilde yerine getirmeliyiz.
Ne yazık ki, devlet kurumlarını çözüme devam ederek finanse etmeye yönelik mevcut yaklaşım, kaynak bulma sorununu daha da karmaşık hale getiriyor. Kararların devam etmesi elbette hükümetin kapatılmasından daha iyidir, ancak bunun dışında siber güvenlik açısından kötüdür. Ajansları önceki yıllarla aynı fon düzeyinde tutuyorlar, enflasyona veya misyona yönelik hiçbir değişiklik yapmıyorlar ve ajansların yeni program başlatmasına izin vermiyorlar. Kısa süreleri belirsizlik yaratır ve federal hükümeti fiilen dondurur. Yıllık ödenek yasa tasarılarını geçirmek ve siber güvenliğimiz için gerekli kaynakları sağlamak için Kongre’ye ihtiyacımız var. Son zamanlarda olduğu gibi McCrary Enstitüsü Başkanlık Geçiş Görev Gücü raporu “Politika hedefleri ile finansman arasındaki uyumsuzluk, ulusal siber güvenlik çabalarının etkinliğini tehlikeye atan, tekrar eden bir sorundur.” Raporun bir bölümünün tamamını finansman ve kaynak önerilerine ayırmasının nedeni budur; yeterli kaynaklar olmadan en iyi politikalar amaçlanan etkilerine ulaşamayacaktır.
ABD hâlâ bir siber süper güç, ancak bu statünün uzun süreceği garanti değil; onu israf edebiliriz. ABD siber güvenlikteki liderliğini sürdürmek istiyorsa yetişkinler gibi davranmalı ve bizden talep edilen zorlu finansman kararlarını vermeliyiz. Büyümek zordur ama alternatifi pek çekici değildir.